一文詳解:數(shù)字政府如何開展數(shù)據(jù)安全工作?

  • 人閱讀
  • 2022-04-22 11:35:47

  • 來源:中關(guān)村網(wǎng)

  • 相關(guān)關(guān)鍵詞

  “數(shù)字政府建設(shè)要滿足人民對美好生活向往”

  ——人民網(wǎng)評

  今天,我們在網(wǎng)上辦事有多簡單?

  以前需多次現(xiàn)場辦理的,現(xiàn)在可能“最多跑一次”,甚至“一次都不用跑”了;很多事情可以“一網(wǎng)通辦”、“跨省通辦”;部分政務(wù)更是達到了可以“秒批、秒辦”的速度。

  網(wǎng)上辦事如此便捷,得益于相關(guān)數(shù)據(jù)的共享交換和合理利用。然而,數(shù)據(jù)在給民眾和相關(guān)行業(yè)帶來便利的同時,由于其高度集中、共享開放,數(shù)據(jù)安全的隱患和風(fēng)險也在陡然加劇。數(shù)據(jù)安全事件日益頻發(fā),更給各級政府敲響了警鐘。

  習(xí) 近 平 總 書 記近日在主持中央全面深化改革委員會第二十五次會議時強調(diào),要全面貫徹網(wǎng)絡(luò)強國戰(zhàn)略,把數(shù)字技術(shù)廣泛應(yīng)用于政府管理服務(wù),推動政府數(shù)字化、智能化運行,為推進國家治理體系和治理能力現(xiàn)代化提供有力支撐。會議指出,要始終繃緊數(shù)據(jù)安全這根弦,加快構(gòu)建數(shù)字政府全方位安全保障體系,全面強化數(shù)字政府安全管理責任。

  數(shù)據(jù)安全工作的重要性自然不言而喻,那么,各級政府單位的數(shù)據(jù)安全工作具體該怎么開展呢?對此,深信服結(jié)合思路與實踐兩個方面分享了幾點建議。

  1 以公共數(shù)據(jù)安全作為數(shù)據(jù)安全的主要工作方向

  什么是公共數(shù)據(jù)?公共數(shù)據(jù)指的是國家機關(guān)、事業(yè)單位,以及其他依照法律法規(guī)授權(quán)、具有管理公共事務(wù)職能或服務(wù)的組織,在依法履行公共管理職責或公共服務(wù)過程中收集和產(chǎn)生的數(shù)據(jù)。綜合各地數(shù)據(jù)相關(guān)政策中的定義來看,公共數(shù)據(jù)的范圍很大,超越了過去的政務(wù)數(shù)據(jù)邊界定義。

  相對于一般性的數(shù)據(jù)資源,公共數(shù)據(jù)的質(zhì)量和信息價值更高,不僅可以助力政府提供更高質(zhì)量的公共服務(wù)、讓企業(yè)和群眾辦事更方便,同時,還能提升政府的治理能力。由于包含大量個人隱私數(shù)據(jù)和政務(wù)重要信息,公共數(shù)據(jù)集中、統(tǒng)一管理后,數(shù)據(jù)安全問題更加突出,因此政府在數(shù)據(jù)安全工作開展過程中,以公共數(shù)據(jù)安全為核心工作范圍,能夠更好地保障數(shù)據(jù)安全。

  2 以公共數(shù)據(jù)的業(yè)務(wù)場景作為安全規(guī)劃建設(shè)的主要切入點

  傳統(tǒng)基于數(shù)據(jù)全生命周期流程的數(shù)據(jù)安全分析,能夠?qū)Π踩芰Ψ治龅酶油暾?。但其不足在于,很難將其與公共數(shù)據(jù)的相關(guān)業(yè)務(wù)場景和組織相結(jié)合。例如,到底該由哪個部門來負責數(shù)據(jù)采集安全?又由哪個部門來負責數(shù)據(jù)共享安全?

  深信服認為,公共數(shù)據(jù)安全建設(shè)應(yīng)當以業(yè)務(wù)場景視角為切入點,這樣能更好地梳理出安全需求的范圍及邊界,從而更有效地匹配安全能力的建設(shè)和投入。主要場景有以下六類:公共服務(wù)場景、數(shù)據(jù)開發(fā)利用場景、跨部門共享交換場景、大數(shù)據(jù)基礎(chǔ)設(shè)施運行維護場景、應(yīng)用開發(fā)測試場景、數(shù)據(jù)資源管理場景。

  3 充分調(diào)動組織內(nèi)三類“主力軍”的數(shù)據(jù)安全職責

  我們可以把開展公共數(shù)據(jù)安全工作組織的角色分為兩類,一類是統(tǒng)籌與保障跨組織間數(shù)據(jù)共享交換安全的大數(shù)據(jù)資源管理部門,主要負責大數(shù)據(jù)平臺數(shù)據(jù)歸集后的數(shù)據(jù)安全及相關(guān)安全管理措施與標準規(guī)范建設(shè)等工作。另一類是各行業(yè)主管部門,負責統(tǒng)籌領(lǐng)域或組織內(nèi)的公共數(shù)據(jù)安全建設(shè)工作。

  為了更好地保障跨組織間的公共數(shù)據(jù)流轉(zhuǎn)與利用,公共數(shù)據(jù)安全保護工作應(yīng)在大數(shù)據(jù)資源管理部門的統(tǒng)籌下充分協(xié)同。

  在組織內(nèi)部,深信服認為,具備數(shù)據(jù)資源管理職能、應(yīng)用開發(fā)測試職能及網(wǎng)絡(luò)安全管理職能的部門或團隊應(yīng)作為“主力軍”,承擔主要的數(shù)據(jù)安全保護任務(wù),其他部門則負責協(xié)同推進。

  其中,組織內(nèi)的數(shù)據(jù)資源管理部門需要統(tǒng)籌數(shù)據(jù)資源管理及數(shù)據(jù)安全管理的標準規(guī)范和管理措施,是數(shù)據(jù)安全管理的核心部門;在組織開展數(shù)據(jù)安全工作時,業(yè)務(wù)應(yīng)用側(cè)會有大量數(shù)據(jù)安全組件的開發(fā)集成工作,應(yīng)用開發(fā)測試部門扮演著非常重要的角色;網(wǎng)絡(luò)安全部門作為共性數(shù)據(jù)安全能力建設(shè)、運行及安全運營部門,負責對數(shù)據(jù)安全工作提供基礎(chǔ)共性支撐并持續(xù)開展風(fēng)險監(jiān)測。

  數(shù)字政府下的公共數(shù)據(jù)安全實踐

  政府在具體的數(shù)據(jù)安全建設(shè)體系落地實踐中該怎么做呢?開展工作前,需要明確《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》、《個人信息保護法》和等級保護2.0之間的關(guān)系。開展工作時,首先,建設(shè)單位需要結(jié)合具體的業(yè)務(wù)場景、數(shù)據(jù)屬性、合規(guī)適用等進行需求分析。其次應(yīng)當通過自上而下的治理模式構(gòu)建數(shù)據(jù)安全保障體系。

  數(shù)據(jù)安全落地實踐“五步走”——

  第一步:了解被保護數(shù)據(jù)資產(chǎn),定義數(shù)據(jù)保護場景

       在開展公共數(shù)據(jù)保護工作的初始階段,組織需要以職能范圍、業(yè)務(wù)發(fā)展方向、合規(guī)要求等作為輸入,明確需要保護的數(shù)據(jù)資源基本信息,如位置、類別等,確定數(shù)據(jù)保護涉及的業(yè)務(wù)場景,如:數(shù)據(jù)共享交換場景、大數(shù)據(jù)基礎(chǔ)設(shè)施運行維護場景、數(shù)據(jù)資源管理場景等等,并可以通過梳理敏感數(shù)據(jù)的流轉(zhuǎn)過程,實現(xiàn)對應(yīng)場景下的數(shù)據(jù)安全風(fēng)險與合規(guī)的需求分析。

  第二步:構(gòu)建數(shù)據(jù)安全能力藍圖,進行差距評估

       在明確了涉及數(shù)據(jù)安全保護的場景后,就可以基于數(shù)據(jù)安全的總體目標開展規(guī)劃設(shè)計,定義數(shù)據(jù)安全工作的能力藍圖、主要任務(wù)與重點工程。數(shù)據(jù)安全的能力藍圖是一種從能力視角對工作目標進行分解的框架,在藍圖的基礎(chǔ)上可以基于數(shù)據(jù)安全目標開展現(xiàn)狀調(diào)研與差距分析工作,梳理組織現(xiàn)在的數(shù)據(jù)安全能力上的差距。

  基于所定義的安全能力藍圖,可以進一步分析這些場景下主要的責任部門,檢視各部門所具備的資源是否可以支撐數(shù)據(jù)安全目標的達成。明確參與數(shù)據(jù)安全保護的部門,其目的是為了確保數(shù)據(jù)安全的需求可以分解至相關(guān)能力的部門來承接,比如:想要完成應(yīng)用的數(shù)據(jù)安全能力改造就需要由組織開發(fā)測試部門來參與;數(shù)據(jù)安全的運營工作就需要由安全部門的運營團隊的職能來覆蓋。

  數(shù)據(jù)安全部分組織職能責任示例:

  第四步:開展數(shù)據(jù)安全制度、標準和技術(shù)措施的建設(shè)

  按照重要性、成本、優(yōu)先級等多種因素推動切合實際的工作落地。例如,推進數(shù)據(jù)安全制度建設(shè),一方面要推動公共數(shù)據(jù)安全行政管理職能的落地,另一方面要加強數(shù)據(jù)安全標準的制定,從而在制度保障上對數(shù)據(jù)的管理、操作、維護做出規(guī)范,對數(shù)據(jù)安全風(fēng)險進行有效控制。當然也可以基于實際的重點任務(wù)開展應(yīng)用數(shù)據(jù)安全技術(shù)措施建設(shè)、數(shù)據(jù)脫敏/去標識化等技術(shù)能力建設(shè)。

  第五步: 持續(xù)推動數(shù)據(jù)資產(chǎn)的安全管理與數(shù)據(jù)風(fēng)險的安全運營

  落實公共數(shù)據(jù)安全的常態(tài)化運營工作,以數(shù)據(jù)資產(chǎn)安全管理為例,需要持續(xù)對公共數(shù)據(jù)資產(chǎn)進行發(fā)現(xiàn)、分類分級、標記等元數(shù)據(jù)管理工作,這些工作常常建立在數(shù)據(jù)血緣管理、數(shù)據(jù)唯一性管理、數(shù)據(jù)質(zhì)量管理等等數(shù)據(jù)治理活動中。而數(shù)據(jù)分析安全運營則如同網(wǎng)絡(luò)漏洞威脅監(jiān)測預(yù)警一樣,需要對存在可疑數(shù)據(jù)訪問權(quán)限、敏感數(shù)據(jù)泄漏等進行持續(xù)性安全監(jiān)測與響應(yīng),并基于問題持續(xù)推動數(shù)據(jù)安全工作改進。

  總結(jié)

  立足公共數(shù)據(jù),以業(yè)務(wù)場景作為切入點,是未來引領(lǐng)、推動政府數(shù)字化轉(zhuǎn)型的一個方向。

  但目前,公共數(shù)據(jù)安全在國內(nèi)仍處于起步階段,以上思路與實踐更多從規(guī)劃視角出發(fā)。組織單位在開展數(shù)據(jù)安全工作時,仍需要結(jié)合實際的業(yè)務(wù)場景去進行,用理論推動實踐,用實踐來修正或補充理論,方能形成屬于自己的方法論和實踐經(jīng)驗。

  深信服數(shù)據(jù)安全解決方案基于《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)的要求和實際的數(shù)據(jù)安全風(fēng)險場景,通過人工智能和機器學(xué)習(xí)等先進技術(shù),為政府、教育、醫(yī)療等各個行業(yè)用戶提供面向業(yè)務(wù)場景的數(shù)據(jù)安全建設(shè)體系,讓數(shù)據(jù)使用變得更加合規(guī)、安全。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )